El Boton "No me gusta" de FB

Un pequeño post (que no es tan pequeño) que ayuda a dar conciencia a aquellos analfabetas informaricos, y a otros un poco mas lacra o hasta n00bs

Preludio:
Una aplicación que supuestamente, les añadira un coqueto boton “no me gusta” a las paginas de Facebook. Esa es la “promesa” que usa esta nueva creación viral para llamar la atención de los usuarios, que en la realidad, lo único que hace, es publicitar aplicaciones -fake por supuesto- para móviles.
¿Como esta aplicación se pudo difundir -viralizar- tan rápidamente?
Para intentar responder está incógnita,usaremos, a modo de ejemplo a Alexander -no quiero discriminar, pero demosle mi toque de “humor” diferente al articulo, si?-

"Alexander como todos los días se levanta y revisa facebook para ver cuantas nuevas solicitudes de amistad tiene -ninguna haha-, Además de revisar las actualizaciones de estado de sus facebook-cumpas. Entre actualizaciones tipo “con cañaaaa”, “buena partuza anochee”….aparece una bastante llamativa:
“Que bien, Facebook ha puesto por fin el boton NO ME GUSTA, si quieres tenerlo tu tambien pulsa en el boton que sale aqui abajo, que dice Instalar NO ME GUSTA” -publicado por el creador de la aplicación (origen)-
Sin pensarlo 2 veces, Alexander hace clic para estar a la ultima moda en Facebook, sigue las instrucciones de la página al pie de la letra, por lo que copia y pega un código -está acostumbrado a copiar y pegar en el colegio, asique no ve nada raro en este caso-, esperando tener el tan anhelado botón ”no me gusta”. Ingresa a alguna pagina de facebook para comenzar a usar la nueva espectacular funcionalidad, pero, no hay nada. ¿habré hecho algo mal?, Alexander vuelve a la pagina que promete el botoncito a comprobar si siguió todos los pasos correctamente, que sólo son 2 -imagínense la odisea que es instalar wl messenger para él-. Al parecer hizo todo bien, pero el botón ”no me gusta” no aparece por ningún lado, eso si, Alexander nota que al final de la pagina aparece un vinculo -link- publicitando “algo” para teléfonos móviles (algo que también es falso -fake-). FIN!"

Alexander ha sido víctima de publicidad engañosa 2.0 sin darse cuenta -troleado-.
Lo que hace está aplicación es obtener la lista de todos los amigos de Alexander y, posteriormente publicar en el muro de cada uno de ellos, el mismo mensaje por el cual Alexander hizo clic -la gran cadena 2.0-.
Una estrategia publicitaria bastante poco ética y a la que esta acostumbrado recurrir el grupo enterfactory.com para publicitar productos falsos -pa más remate- vía redes sociales.

Ni tan geek:
¿Pero como esta aplicación puede realizar estas acciones si Facebook tiene más de una medida de seguridad para evitar este tipo de incidentes -spam-?
No tiene un pacto con el diablo, ni tampoco es la creación más compleja de la historia de internet. Tan sólo se aprovecha del analfabetismo digital de los usuarios.
La aplicación pide que copiemos un fragmento de código javascript y lo peguemos en alguna pestaña abierta de facebook.
Este fragmento de código lo que hace es incrustar un script externo dentro del ambiente-codigo de Facebook, de está forma salta todos los mecanismos de seguridad y confirmaciones de usuario. Puede llevar a cabo acciones arbitrarias y acceder a información privada de la cuenta del usuario, sin que este se percate.
Las acciones que lleva a cabo el script externo son:
1. obtiene el valor de 2 campos ocultos que utiliza Facebook para autentificar peticiones ajax,y asegurarse que la petición está siendo realmente realizada por el usuario. (previene ataques CSRF).
2. obtiene el valor del cookie c_user, que contiene el ID único de usuario.
3. Realiza una solicitud (GET) al servidor para obtener la lista de amigos vía ajax, pasando los valores de los campos que obtuvo previamente, para autentificar la solicitud
4. Utiliza la lista de amigos que el servidor le envió en formato JSON para publicar un mensaje, enviando una solicitud (POST) al servidor, nuevamente utilizando los valores obtenidos de los campos leídos en el paso 1, por lo que la solicitud, nuevamente es válida.
5. Muestra un mensaje y redirige al usuario a una pagina externa a Facebook, que es la que publicita los productos.

Geek total (solo los que entienden algo sobre JavaScript:


Conclusion:
Si bien Facebook debería tomar medidas para evitar este tipo de ataques que sean vuelto muy frecuentes -ingenieria social mode on-, La responsabilidad en este caso, es del usuario, que descuidadamente hace clic, copia y pega sin tener remota idea de lo que hace. Navegar en internet es seguro, siempre y cuando sepamos hacerlo. La simple acción de copiar y pegar un código, en este caso es como si le abriéramos la puerta de la casa a los ladrones.
moraleja: la misma de siempre… no haga clic en huevadas. Si Facebook quiere implementar un botón “no me gusta” no le pedirá que ingrese un código. Es tan falso como las llamadas por celular felicitándolo porque se ganó un plasma en tono.